AWS Network Firewall 专业2020年〜
对 VPC 网络流量进行精细控制的托管防火墙服务
它能做什么
AWS Network Firewall 是一项全托管防火墙服务,用于检查和过滤 VPC 内的网络流量。提供有状态和无状态数据包过滤、入侵检测与防御(IDS/IPS)、Web 过滤等功能。搭载 Suricata 兼容的规则引擎,可迁移现有的本地防火墙规则。根据流量自动扩展,无需容量规划。
使用场景
用于 VPC 间流量控制、出站流量过滤、阻止对已知恶意域名的访问、基于合规要求的网络审计、恶意软件通信的检测与阻断、多账户环境下的集中网络安全管理等需要网络层安全加固的场景。
日常类比
可以比作大楼的保安人员。如果安全组是每个房间的门锁(端口级控制),那么 Network Firewall 就是站在大楼入口的保安。保安检查进出人员的身份证(数据包内容),检测并阻止可疑人员(恶意流量)。保安人数根据大楼的繁忙程度自动增减。
什么是 Network Firewall
AWS Network Firewall 是一项在 VPC 层面检查和控制网络流量的服务。与安全组和 NACL(网络 ACL)提供基于 IP 地址和端口号的基本过滤不同,Network Firewall 能够进行深度包检测(DPI),检查数据包内容(载荷)。由此可以检测应用层威胁和协议异常。与 AWS Firewall Manager 集成后,可以集中管理跨多个账户和 VPC 的防火墙策略。
规则引擎与检查功能
Network Firewall 的规则引擎采用无状态规则和有状态规则的双层结构。无状态规则基于五元组(源 IP、目标 IP、源端口、目标端口、协议)进行高速过滤。有状态规则支持 Suricata 兼容的 IPS 规则格式,可实现基于 TLS SNI(Server Name Indication)的域名过滤、HTTP 头检查和协议异常检测。使用 AWS 提供的托管规则组,可以轻松应用基于最新威胁情报的规则。 如需系统了解规则引擎和检查功能的概念与方法,可参考相关书籍(Amazon)。
部署架构
Network Firewall 作为端点部署在专用的防火墙子网中。通过配置 VPC 路由表,将待检查的流量路由经过防火墙端点。结合 Transit Gateway,可以在中心辐射型架构中集中检查多个 VPC 的流量。防火墙日志可输出到 S3、CloudWatch Logs、Kinesis Data Firehose,用于安全审计和事件调查。
注意事项
- 如果安全组和 NACL 已经满足需求,则无需额外添加 Network Firewall;当需要深度包检测或 IDS/IPS 时再考虑引入
- 防火墙端点按可用区创建,多可用区架构下需注意端点数量带来的成本
